Ausführen von Playbooks bei Bedarf

  • 8 Minuten

Bei einigen Vorfällen bei Contoso kann es erforderlich sein, weitere Untersuchungen durchzuführen, bevor Sie ein Playbook ausführen. Microsoft Sentinel ermöglicht Ihnen die Ausführung von Playbooks bei Bedarf, sodass detaillierte Untersuchungen möglich sind.

Ausführen eines Playbooks bei Bedarf

Sie können Playbooks so konfigurieren, dass sie bei Bedarf basierend auf den Gegebenheiten eines Vorfalls ausgeführt werden, entweder um entsprechende Schritte im Rahmen der Untersuchung durchzuführen oder um Schritte zur Problembehebung einzuleiten.

Denken Sie z. B. an ein Szenario, in dem verdächtige Benutzer davon abgehalten werden, Zugriff auf Unternehmensressourcen zu erhalten. Als Sicherheitsadministrator bei Contoso finden Sie einen falsch positiven Vorfall. Einige Benutzer von Contoso haben über eine Verbindung mit einem virtuellen privaten Netzwerk von Remotecomputern auf Ressourcen zugegriffen, während gleichzeitig eine Verbindung mit den Bürocomputern bestand. Microsoft Cloud Security hat Signale der Zugriffsversuche empfangen. Wenn ein Zugriffsversuch von ungewöhnlichen Standorten erkannt wird, gilt dies als Sicherheitsrisiko. Darauf basierend wurden diese Benutzer als mittlere Bedrohung eingestuft.

Sie können ein Playbook verwenden, das diese Risikobenutzereigenschaft in Microsoft Entra ID automatisch schließt.

Microsoft Sentinel-Repository auf GitHub

Das Microsoft Sentinel-Repository auf GitHub enthält gebrauchsfertige Playbooks, die Ihnen bei der Automatisierung von Reaktionen auf Incidents helfen. Diese Playbooks werden mit Azure Resource Manager (ARM-Vorlagen) definiert, der Microsoft Sentinel-Trigger für Logik-Apps verwenden.

Für das zuvor beschriebene Szenario können Sie das Playbook Dismiss-AADRiskyUser verwenden, das sich im Microsoft Sentinel-Repository auf GitHub befindet, und es direkt in Ihrem Azure-Abonnement bereitstellen.

Für jede Bereitstellung von GitHub müssen Sie zuerst jede Verbindung im Playbook autorisieren, bevor Sie sie im Designer für Logik-Apps bearbeiten. Durch die Autorisierung wird eine API-Verbindung mit dem entsprechenden Connector hergestellt und das Token und die Variablen werden gespeichert. Sie finden die API-Verbindung in der Ressourcengruppe, in der Sie die Logik-App erstellt haben.

An den Name jeder API-Verbindung wird das Präfix azuresentinel angehängt. Sie können die Verbindung auch im Designer für Logik-Apps bearbeiten, wenn Sie die Logik-App bearbeiten.

Screenshot that depicts the authorization of the API connection.

Anfügen eines Playbooks an einen bestehenden Vorfall

Nachdem das Playbook fertig ist, können Sie die Seite Incident in Microsoft Sentinel öffnen und dann den vorhandenen Incident auswählen. Im Detailbereich können Sie Alle Informationen anzeigen auswählen, um sich die Eigenschaften des Vorfalls anzusehen. Im Bereich Alerts (Warnungen) können Sie View playbooks (Playbooks anzeigen) auswählen, um eines der vorhandenen Playbooks auszuführen.

Der folgende Screenshot zeigt ein Beispiel für eine verdächtige Benutzeraktivität, für die Sie das Playbook Dismiss-AADRiskyUser anfügen können.

Screenshot of the Incident page.

Nachdem Sie den Vorfall untersucht haben, können Sie das Playbook manuell ausführen, um auf eine Sicherheitsbedrohung zu reagieren.

Überprüfen Sie Ihr Wissen

1.

Ein Administrator möchte ein Playbook an einen bestehenden Vorfall anfügen und mit der Untersuchung des Vorfalls beginnen. Welche Option sollte der Administrator auswählen, um das Playbook anzufügen?

2.

Sie möchten nach einer passenden Bedrohungserkennungsabfrage oder einer Arbeitsmappe suchen, die Sie für Ihre Anforderungen verwenden können. Wo können Sie nach solchen Elementen suchen?